A NIS2 irányelv és a kiberbiztonság

A NIS2 irányelv az EU frissített jogszabálya, amely felváltja az eredeti NIS irányelvet. Fő célja a kiberbiztonság szintjének emelése valamennyi tagállamban, valamint a kritikus és fontos szervezetek infrastruktúrájának megerősített védelme.

Magyarországon a NIS2 irányelvet a 2024. évi LXIX. törvény (Kiberbiztonsági törvény) ültette át a nemzeti jogba, amelyet a parlament 2024. december 20-án fogadott el, és 2025. január 1-jén lépett hatályba. Az új törvény egyetlen egységes keretbe foglalja az állami és magánszektor kiberbiztonsági szabályait, és felváltja a korábbi 2023-as részleges átültetést. A felügyeleti hatóság szerepét a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) tölti be. A korábban regisztrált szervezeteknek nem kell újra regisztrálniuk, az újonnan érintett szervezeteknek a tevékenység megkezdésétől számított 30 napon belül kell bejelentkezniük az SZTFH-nál.

Kiket érint a NIS2 irányelv?

Az eredeti NIS irányelvhez képest az alkalmazási kör jelentősen bővül. Az új irányelv tágabb szektorokat fog át: egészségügyet, közlekedést, energetikát, hulladék- és vízgazdálkodást, pénzügyi és digitális szolgáltatásokat. Vonatkozik a felhőszolgáltatókra és az online piacterekre is. Érintett a gyártószektor is: egészségügyi eszközök, gépek, elektronikus berendezések, gépjárművek és más járművek gyártói. Összességében a 2024. évi LXIX. törvény hatálya Magyarországon több ezer szervezetre terjed ki, az SZTFH 2024 végéig több mint 3 500 regisztrációs kérelmet bírált el.

Milyen kötelezettségeket kell teljesíteni?

• A biztonsági incidensek észlelése, azonosítása és nyilvántartása.
• Az incidenskezelési eljárások kidolgozása, beleértve a helyreállítási és üzletmenet-folytonossági tervet.
• Átfogó kockázatelemzés elvégzése.
• A kiberbiztonsági felelős személy kijelölése.
• Az alkalmazottak rendszeres képzésének biztosítása minden szinten.

Mikor lép hatályba a NIS2?

A 2024. évi LXIX. törvény 2025. január 1-jén lépett hatályba Magyarországon. Az érintett szervezeteknek regisztrációjuk után 120 napjuk van szerződést kötni egy hitelesített auditorral, az első kiberbiztonsági audit elvégzésének határideje 2026. június 30.

Szankciók a kötelezettségek megszegéséért

A NIS2 irányelv követelményeinek nem teljesítése súlyos pénzügyi szankciókhoz vezethet. Az alapvető szolgáltatások üzemeltetői akár 10 millió eurós bírsággal vagy az éves nettó árbevétel 2%-ával sújthatók, attól függően, melyik összeg a magasabb. A szokásos szolgáltatásokat üzemeltető szervezetek esetén a felső határ 7 millió euró vagy az árbevétel 1,4%-a. A felügyeleti hatóság ismételt szankciót szabhat ki, amely elérheti e határok kétszeresét.

A NIS2 hatása a kis- és középvállalkozásokra

Bár a NIS2 elsősorban a nagyszervezetekre és a kulcsfontosságú szolgáltatókra összpontosít, érinti a kis- és középvállalkozásokat is bizonyos szektorokban és ellátási láncokban.

Az irányelvnek való megfelelés kezelését érdemes minél hamarabb elkezdeni. A kiberbiztonság ma már elengedhetetlen, és minden 50 vagy több alkalmazottat foglalkoztató szervezetnek saját érdekéből kell azt kezelnie, nem csupán szabályozási kötelezettségből.

Az irányelv által érintett szektorok

• egészségügy
• közlekedés
• energetika
• bankrendszer
• pénzügyi piacok
• digitális infrastruktúra
• IKT-szolgáltatások irányítása
• közigazgatás
• űrágazat
• víz- és hulladékgazdálkodás
• gyártás (kiválasztott szektorok)
• kutatás
• vegyipar
• élelmiszeripar
• digitális szolgáltatások
• postai és futárszolgálatok

Mit kell konkrétan teljesítenie az egyes szektoroknak?

A felsorolt szektorok szervezetei kötelesek regisztrálni az SZTFH-nál (Szabályozott Tevékenységek Felügyeleti Hatósága), azonosítani és nyilvántartani a biztonsági incidenseket, kidolgozni az incidenskezelési eljárásokat a helyreállítási tervvel együtt, elvégezni a kockázatelemzést és megfelelő biztonsági intézkedéseket bevezetni. Szükséges a kijelölt felelős személy és az alkalmazottak rendszeres képzése is.

A leggyakoribb biztonsági kockázatok

A szervezetek számára a legnagyobb kockázatot jelenti: a hálózati szegmentáció hiánya, az elégtelen perimétervédelem, a nem biztonságos internet-hozzáférés, az e-mail-szolgáltatások gyenge védelme és a végpontok alacsony szintű biztonsága.

További kritikus gyengeségek közé tartozik az általános felhasználók túlzott jogosultsága, a többfaktoros hitelesítés hiánya, a gyenge jelszavak, a diszfunkcionális identitáskezelési ciklus, az ismert sérülékenységekkel rendelkező elavult hardver és szoftver, valamint az alacsony hálózati forgalom-láthatóság.

E lánc végén áll a hiányos vagy teljesen hiányzó naplókezelés, az elégtelen biztonsági mentés, valamint a helyreállítási és gyors incidensreagálási tervek hiánya.

Különleges kockázatot jelent az elégtelen képzésben részesült alkalmazott. Éppen a rutinszerű munkavégzés során nyílik lehetőség kiberbiztonsági incidensre. A bevált megközelítés a Zero Trust koncepció, amely feltételezi, hogy egyetlen felhasználó, eszköz vagy hálózat sem megbízható automatikusan, még a belső vállalati infrastruktúrán belül sem. A szervezeteknek az identitások központi kezelésére is figyelmet kell fordítaniuk, beleértve az emelt szintű fiókokat is.

A kiberbiztonság összetett terület, univerzális megoldás nélkül. Mindig emberek, folyamatok és technológiák kombinációjáról van szó. A NIS2 irányelv nem hoz gyökeresen új koncepciókat bevált biztonsági elvekre épít, amelyeknek minden felelős szervezet esetén alapkövetelménynek kellene lennie.